項(xiàng)目一網(wǎng)絡(luò)安全基礎(chǔ)

項(xiàng)目1網(wǎng)絡(luò)安全基礎(chǔ)職業(yè)教育網(wǎng)絡(luò)信息安全“十三五”規(guī)劃教材”網(wǎng)絡(luò)空間安全”賽項(xiàng)大賽資源轉(zhuǎn)化教材機(jī)械工業(yè)出版社如果要從事網(wǎng)絡(luò)安全管理員工作就需要了解網(wǎng)絡(luò)安全，那什么是網(wǎng)絡(luò)安全，它包括CIA模型，也就是機(jī)密性，完整性，可用性等。另外研究網(wǎng)絡(luò)安全經(jīng)常需要對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析。本章導(dǎo)讀Thechapter’sintroduction任務(wù)1認(rèn)識(shí)機(jī)密性任務(wù)描述銀河網(wǎng)絡(luò)公司的一臺(tái)服務(wù)器需要實(shí)施遠(yuǎn)程管理。王強(qiáng)是該公司系統(tǒng)管理員，他希望通過配置TELNET服務(wù)來實(shí)現(xiàn)遠(yuǎn)程管理。該服務(wù)的網(wǎng)絡(luò)安全性怎么樣呢？王強(qiáng)通過Wireshark軟件抓取TELNET流量來分析網(wǎng)絡(luò)通信的機(jī)密性，并根據(jù)分析結(jié)果來決定是否采用TELNET服務(wù)來實(shí)施服務(wù)器的遠(yuǎn)程管理。任務(wù)1認(rèn)識(shí)機(jī)密性任務(wù)1認(rèn)識(shí)機(jī)密性任務(wù)分析一臺(tái)服務(wù)器要進(jìn)行遠(yuǎn)程管理，可以先安裝TELNET服務(wù)，接著進(jìn)行一些簡(jiǎn)單的配置，然后運(yùn)行TELNET服務(wù)，最后在一臺(tái)客戶機(jī)上進(jìn)行遠(yuǎn)程登錄測(cè)試。要想了解TELNET的安全性，就需要使用Wireshare這樣的軟件進(jìn)行全過程的抓包，并對(duì)所抓的包進(jìn)行分析。任務(wù)1認(rèn)識(shí)機(jī)密性任務(wù)實(shí)施步驟1：設(shè)置CentOS虛擬機(jī)的IP地址打開CentOS虛擬機(jī)，設(shè)置IP地址為/24，操作命令為ifconfigeth0/24，再使用ifconfigeth0命令進(jìn)行檢驗(yàn)任務(wù)1認(rèn)識(shí)機(jī)密性步驟2：安裝TELNET服務(wù)在配置好yum源后，通過yuminstalltelnet-server-y命令進(jìn)行安裝任務(wù)1認(rèn)識(shí)機(jī)密性步驟3：配置TELNET服務(wù)1)通過vi/etc/xinetd.d/telnet命令修改配置，將參數(shù)disable=yes修改為disable=no任務(wù)1認(rèn)識(shí)機(jī)密性步驟4：開啟TELNET服務(wù)1）通過servicexinetdrestart命令重啟xinetd服務(wù)來開啟TELNET服務(wù)圖5-1-5“更改范圍”對(duì)話框任務(wù)1認(rèn)識(shí)機(jī)密性步驟5：檢查TELNET服務(wù)是否已開啟1）通過netstat–tnlp命令來檢查，觀測(cè)23號(hào)端口是否在監(jiān)聽任務(wù)1認(rèn)識(shí)機(jī)密性步驟6：開啟抓包軟件1）打開Wireshark軟件，利用“本地連接”開始抓包任務(wù)1認(rèn)識(shí)機(jī)密性步驟7：通過TELNET實(shí)施服務(wù)器的遠(yuǎn)程管理1）在客戶端上執(zhí)行遠(yuǎn)程登錄命令telnet，并輸入用戶和密碼任務(wù)1認(rèn)識(shí)機(jī)密性步驟8：結(jié)束抓包1）在Wireshark軟件中單擊停止抓包按鈕任務(wù)1認(rèn)識(shí)機(jī)密性步驟9：追蹤TELNET數(shù)據(jù)流1）在Wireshark窗口中選中Protocol內(nèi)容為“TELNET”的行，右擊打開快捷菜單，選擇“追蹤流--->TCP”，Wireshark軟件會(huì)幫助分析TELNET數(shù)據(jù)流任務(wù)1認(rèn)識(shí)機(jī)密性任務(wù)1認(rèn)識(shí)機(jī)密性【知識(shí)鏈接】1.機(jī)密性數(shù)據(jù)機(jī)密性保證即使消息被捕獲，它也不能被破解，也就是信息不被泄露給非授權(quán)的用戶、實(shí)體或過程，即信息只為授權(quán)用戶所使用。數(shù)據(jù)機(jī)密性確定隱私，使得只有接收者能夠閱讀消息。通?？梢酝ㄟ^加密來實(shí)現(xiàn)數(shù)據(jù)機(jī)密性，加密是對(duì)數(shù)據(jù)進(jìn)行擾碼的過程，這樣未經(jīng)授權(quán)的通信方就無法閱讀這些數(shù)據(jù)。通過采用多種工具和協(xié)議，密碼加密能夠在OSI模型的多個(gè)層提供機(jī)機(jī)密性。專有的鏈路加密設(shè)備提供數(shù)據(jù)鏈路層的機(jī)密性。網(wǎng)絡(luò)層協(xié)議，例如IPSec協(xié)議族，提供網(wǎng)絡(luò)層機(jī)密性。安全套接層（SecureSocketLayer，SSL）或傳輸層安全（TransportLayerSecurity，TLS）這類協(xié)議提供會(huì)話層機(jī)密性。安全電子郵件、安全數(shù)據(jù)庫會(huì)話（OracleSQL*net）和安全消息傳遞（LotusNotes會(huì)話）提供應(yīng)用層機(jī)密性。任務(wù)1認(rèn)識(shí)機(jī)密性【知識(shí)鏈接】2．TELNET協(xié)議運(yùn)行TELNET客戶端程序的遠(yuǎn)程計(jì)算機(jī)如何與運(yùn)行TELNET服務(wù)器程序的計(jì)算機(jī)進(jìn)行通信。TELNET服務(wù)器接受在端口23上的連接，并通過偽終端驅(qū)動(dòng)器將遠(yuǎn)程TELNET客戶端連接到服務(wù)器的應(yīng)用程序。TELNET數(shù)據(jù)流采用明文方式進(jìn)行通信，缺乏機(jī)密性，用戶名和密碼等敏感數(shù)據(jù)包很容易被第三方截取，從而導(dǎo)致泄密。3．Wireshark軟件Wireshark（前稱Ethereal）是一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包分析軟件。網(wǎng)絡(luò)數(shù)據(jù)包分析軟件的功能是抓取網(wǎng)絡(luò)數(shù)據(jù)包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)數(shù)據(jù)包資料。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報(bào)文交換。網(wǎng)絡(luò)數(shù)據(jù)包分析軟件的功能可想象成“電工技師使用電表來量測(cè)電流、電壓、電阻”的工作－只是將場(chǎng)景移植到網(wǎng)絡(luò)上，并將電線替換成網(wǎng)絡(luò)線。在過去，網(wǎng)絡(luò)數(shù)據(jù)包分析軟件是非常昂貴的，或是專門屬于盈利用的軟件。Ethereal的出現(xiàn)改變了這一切。在GNU/GPL通用許可證的保障范圍底下，使用者可以以免費(fèi)的代價(jià)取得軟件與其源代碼，并擁有針對(duì)其源代碼修改及定制化的權(quán)利。Ethereal是目前全世界最廣泛的網(wǎng)絡(luò)封包分析軟件之一。任務(wù)1認(rèn)識(shí)機(jī)密性【知識(shí)鏈接】4．yum源配置配置YUM方法如下：cd/etc/yum.repos.d/mkdirbakmvCentOS-Base.repobak;移動(dòng)文件到bak目錄mvCentOS-Debuginfo.repobak;移動(dòng)文件到bak目錄mvCentOS-Vault.repobak;移動(dòng)文件到bak目錄通過viCentOS-Media.repo修改以下兩行： gpgcheck=0enabled=1

按:wq保存退出。任務(wù)2認(rèn)識(shí)完整性任務(wù)描述

銀河網(wǎng)絡(luò)公司的上網(wǎng)采用代理服務(wù)。員工的上網(wǎng)通過代理服務(wù)器進(jìn)行，王強(qiáng)希望了解代理服務(wù)的安全性，如果代理服務(wù)器被人攻破，那么用戶的請(qǐng)求很可能被篡改，普通用戶根本不知道自己的請(qǐng)求被篡改，從而導(dǎo)致安全事故的發(fā)生。任務(wù)二

認(rèn)識(shí)完整性任務(wù)2認(rèn)識(shí)完整性任務(wù)分析網(wǎng)絡(luò)數(shù)據(jù)在通信時(shí)是否可以修改，需要一臺(tái)代理服務(wù)器，然后在客戶機(jī)瀏覽器中設(shè)置代理，最后在客戶機(jī)上通過瀏覽器來訪問網(wǎng)站，在這過程中通過修改http請(qǐng)求來進(jìn)行分析。具體步驟如下：任務(wù)2認(rèn)識(shí)完整性步驟1：設(shè)置kaliLinux虛擬機(jī)的代理服務(wù)打開KaliLinux虛擬機(jī)，通過“應(yīng)用程序->Web程序->burpsuit”打開代理程序，選擇“Proxy”標(biāo)簽，再選擇“Options”子標(biāo)簽，單擊“Add”按鈕添加選項(xiàng)，在Bindtoport框中輸入8080，在Bindtoaddress中選擇本機(jī)地址，最后單擊“OK”【任務(wù)實(shí)現(xiàn)】任務(wù)2認(rèn)識(shí)完整性步驟2：客戶機(jī)代理設(shè)置打開chrome瀏覽器，通過“設(shè)置->高級(jí)設(shè)置->打開代理設(shè)置->局域網(wǎng)設(shè)置”任務(wù)2認(rèn)識(shí)完整性任務(wù)2認(rèn)識(shí)完整性步驟4：開啟代理攔截服務(wù)通過“Proxy->Intercept”，點(diǎn)擊“Interceptisoff”，開啟TELNET服務(wù)任務(wù)2認(rèn)識(shí)完整性步驟6：觀察瀏覽結(jié)果觀察Chrome瀏覽器的內(nèi)容任務(wù)2認(rèn)識(shí)完整性任務(wù)2認(rèn)識(shí)完整性步驟8：關(guān)閉客戶端代理打開chrome瀏覽器，通過“設(shè)置->高級(jí)設(shè)置->打開代理設(shè)置->局域網(wǎng)設(shè)置”任務(wù)2認(rèn)識(shí)完整性【知識(shí)鏈接】1.完整性數(shù)據(jù)完整性是指?jìng)鬏?、存?chǔ)信息或數(shù)據(jù)的過程中確保信息或數(shù)據(jù)不被未授權(quán)的用戶篡改或在篡改后能夠被迅速發(fā)現(xiàn)。專有的鏈路加密設(shè)備提供數(shù)據(jù)鏈路層的機(jī)密性。網(wǎng)絡(luò)層協(xié)議，例如IPSec協(xié)議族，提供網(wǎng)絡(luò)層機(jī)密性。安全套接層（SecureSocketLayer，SSL）或傳輸層安全（TransportLayerSecurity，TLS）這類協(xié)議提供會(huì)話層機(jī)密性。安全電子郵件、安全數(shù)據(jù)庫會(huì)話（OracleSQL*net）和安全消息傳遞（LotusNotes會(huì)話）提供應(yīng)用層機(jī)密性。任務(wù)2認(rèn)識(shí)完整性【知識(shí)鏈接】2．Web代理服務(wù)代理服務(wù)器是介于瀏覽器和Web服務(wù)器之間的一臺(tái)服務(wù)器，有了它之后，瀏覽器不是直接到Web服務(wù)器去取回網(wǎng)頁而是向代理服務(wù)器發(fā)出請(qǐng)求，Request信號(hào)會(huì)先送到代理服務(wù)器，由代理服務(wù)器來取回瀏覽器所需要的信息并傳送給你的瀏覽器。而且，大部分代理服務(wù)器都具有緩沖的功能，就好象一個(gè)大的Cache，它有很大的存儲(chǔ)空間，它不斷將新取得數(shù)據(jù)儲(chǔ)存到它本機(jī)的存儲(chǔ)器上，如果瀏覽器所請(qǐng)求的數(shù)據(jù)在它本機(jī)的存儲(chǔ)器上已經(jīng)存在而且是最新的，那么它就不重新從Web服務(wù)器取數(shù)據(jù)，而直接將存儲(chǔ)器上的數(shù)據(jù)傳送給用戶的瀏覽器，這樣就能顯著提高瀏覽速度和效率。更重要的是：ProxyServer(代理服務(wù)器)是Internet鏈路級(jí)網(wǎng)關(guān)所提供的一種重要的安全功能，它的工作主要在開放系統(tǒng)互聯(lián)(OSI)模型的會(huì)話層。主要的功能有：（1）突破自身IP訪問限制，訪問國外站點(diǎn)。如：教育網(wǎng)、169網(wǎng)等網(wǎng)絡(luò)用戶可以通過代理訪問國外網(wǎng)站。（2）訪問一些單位或團(tuán)體內(nèi)部資源，如某大學(xué)FTP(前提是該代理地址在該資源的允許訪問范圍之內(nèi))，使用教育網(wǎng)內(nèi)地址段免費(fèi)代理服務(wù)器，就可以用于對(duì)教育網(wǎng)開放的各類FTP下載上傳，以及各類資料查詢共享等服務(wù)。（3）突破中國電信的IP封鎖：中國電信用戶有很多網(wǎng)站是被限制訪問的，這種限制是人為的，不同Serve對(duì)地址的封鎖是不同的。所以不能訪問時(shí)可以換一個(gè)國外的代理服務(wù)器試試。（4）提高訪問速度：通常代理服務(wù)器都設(shè)置一個(gè)較大的硬盤緩沖區(qū)，當(dāng)有外界的信息通過時(shí)，同時(shí)也將其保存到緩沖區(qū)中，當(dāng)其他用戶再訪問相同的信息時(shí)，則直接由緩沖區(qū)中取出信息，傳給用戶，以提高訪問速度。（5）隱藏真實(shí)IP：上網(wǎng)者也可以通過這種方法隱藏自己的IP，免受攻擊。3．Burpsuit軟件任務(wù)2認(rèn)識(shí)完整性【知識(shí)鏈接】3．Burpsuit軟件BurpSuite能高效率地與單個(gè)工具一起工作，例如：一個(gè)中心站點(diǎn)地圖是用于匯總收集到的目標(biāo)應(yīng)用程序信息，并通過確定的范圍來指導(dǎo)單個(gè)程序工作。在一個(gè)工具處理HTTP請(qǐng)求和響應(yīng)時(shí)，它可以選擇調(diào)用其他任意的Burp工具。例如：代理記錄的請(qǐng)求可被Intruder用來構(gòu)造一個(gè)自定義的自動(dòng)攻擊的準(zhǔn)則，也可被Repeater用來手動(dòng)攻擊，也可被Scanner用來分析漏洞，或者被Spider(網(wǎng)絡(luò)爬蟲)用來自動(dòng)搜索內(nèi)容。應(yīng)用程序可以是“被動(dòng)地”運(yùn)行，而不是產(chǎn)生大量的自動(dòng)請(qǐng)求。BurpProxy把所有通過的請(qǐng)求和響應(yīng)解析為連接和形式，同時(shí)站點(diǎn)地圖也相應(yīng)地更新。由于完全的控制了每一個(gè)請(qǐng)求，你就可以以一種非入侵的方式來探測(cè)敏感的應(yīng)用程序。當(dāng)你瀏覽網(wǎng)頁(這取決于定義的目標(biāo)范圍)時(shí)，通過自動(dòng)掃描經(jīng)過代理的請(qǐng)求就能發(fā)現(xiàn)安全漏洞。IburpExtender是用來擴(kuò)展BurpSuite和單個(gè)工具的功能。一個(gè)工具處理的數(shù)據(jù)結(jié)果，可以被其他工具隨意的使用，并產(chǎn)生相應(yīng)的結(jié)果。任務(wù)3

認(rèn)識(shí)可用性任務(wù)描述銀河網(wǎng)絡(luò)公司的網(wǎng)絡(luò)經(jīng)常出現(xiàn)斷線。王強(qiáng)是該公司系統(tǒng)管理員，他了解了原因是單點(diǎn)故障，他希望提高可用性來保障不斷網(wǎng)。任務(wù)三認(rèn)識(shí)可用性任務(wù)3

認(rèn)識(shí)可用性任務(wù)分析網(wǎng)絡(luò)數(shù)據(jù)在通信時(shí)是否可以可用，需要一臺(tái)代理服務(wù)器，然后在客戶機(jī)瀏覽器中設(shè)置代理，最后在客戶機(jī)上通過瀏覽器來訪問網(wǎng)站，在這過程中通過修改http請(qǐng)求來進(jìn)行分析。任務(wù)3認(rèn)識(shí)可用性步驟1：?jiǎn)螕簟伴_始”->“所有程序”->“CiscoPacketTracer”->“CiscoPacketTracer”，打開“CiscoPacketTracer”窗口，在交換設(shè)備中添加一臺(tái)交換機(jī)。任務(wù)3

認(rèn)識(shí)可用性步驟3：添加DHCP服務(wù)器，并設(shè)置服務(wù)器的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)等任務(wù)3

認(rèn)識(shí)可用性步驟4：配置DHCP地址池任務(wù)3

認(rèn)識(shí)可用性步驟5：在網(wǎng)絡(luò)中添加一臺(tái)上網(wǎng)用路由器，并接入網(wǎng)絡(luò)任務(wù)3

認(rèn)識(shí)可用性步驟6：繼續(xù)添加一臺(tái)交換機(jī)與服務(wù)器來模擬公網(wǎng)，服務(wù)器IP地址為6/29，網(wǎng)關(guān)為5/29任務(wù)3

認(rèn)識(shí)可用性步驟7：配置路由器R0的基本配置，如圖1-3-6所示。Router>enableRouter#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfacefa0/0Router(config-if)#ipaddress54Router(config-if)#noshutdownRouter(config-if)#exitRouter(config)#interfacefa0/1Router(config-if)#ipaddress548Router(config-if)#noshutdownRouter(config-if)#endRouter#任務(wù)3

認(rèn)識(shí)可用性步驟8：在R0上配置NAT服務(wù)，實(shí)現(xiàn)上網(wǎng)功能。Router(config)#access-list1permitanyRouter(config)#intfa0/0Router(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#intfa0/1Router(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#ipnatinsidesourcelist1interfacefa0/1overloadRouter(config)#任務(wù)3

認(rèn)識(shí)可用性步驟9：使用PC來訪問www服務(wù)器。在PC0上打開瀏覽器，輸入6任務(wù)3

認(rèn)識(shí)可用性步驟10：添加一臺(tái)新路由器R1，配置IP地址及NAT等Router>enableRouter#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfacefa0/0Router(config-if)#ipaddress53Router(config-if)#noshutdownRouter(config-if)#exitRouter(config)#interfacefa0/1Router(config-if)#ipaddress748Router(config-if)#noshutdownRouter(config-if)#endRouter#configtRouter(config)#access-list1permitanyRouter(config)#intfa0/0Router(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#intfa0/1Router(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#ipnatinsidesourcelist1interfacefa0/1overloadRouter(config)#任務(wù)3

認(rèn)識(shí)可用性步驟11：配置HSRP協(xié)議，實(shí)現(xiàn)高可用性R0(config)#intfa0/0R0(config-if)#standby1ipR0(config-if)#standby1priority254%HSRP-6-STATECHANGE:FastEthernet0/0Grp1stateSpeak->Standby%HSRP-6-STATECHANGE:FastEthernet0/0Grp1stateStandby->ActiveR0(config-if)#standby1preemptR0(config-if)#standby1trackfa0/1R0(config-if)#R1(config)#R1(config)#intfa0/0R1(config-if)#standby1ipR1(config-if)#standby1priority100%HSRP-6-STATECHANGE:FastEthernet0/0Grp1stateSpeak->StandbyR1(config-if)#standby1preemptR1(config-if)#standby1trackfa0/1R1(config-if)#任務(wù)3

認(rèn)識(shí)可用性步驟11：檢查HSRP狀態(tài)。任務(wù)3

認(rèn)識(shí)可用性步驟12：將PC的網(wǎng)關(guān)設(shè)置為虛擬的網(wǎng)關(guān)地址，然后訪問網(wǎng)頁進(jìn)行測(cè)試任務(wù)3認(rèn)識(shí)可用性步驟13：關(guān)閉路由器R0，模擬路由器不能正常工作，繼續(xù)在PC上訪問網(wǎng)頁進(jìn)行測(cè)試任務(wù)3認(rèn)識(shí)可用性步驟14：在路由器R1上檢查HSRP狀態(tài)任務(wù)3認(rèn)識(shí)可用性【知識(shí)鏈接】1.可用性數(shù)據(jù)可用性確保系統(tǒng)能夠迅速地進(jìn)行工作，并且不能拒絕對(duì)授權(quán)用戶的服務(wù)。數(shù)據(jù)鏈路層的生成樹協(xié)議能提供可用性。網(wǎng)絡(luò)層協(xié)議，HSRP、VRRP能提供網(wǎng)絡(luò)層可用性。傳輸層協(xié)議2．HSRPHSRP：熱備份路由器協(xié)議（HSRP：HotStandbyRouterProtocol），是cisco平臺(tái)一種特有的技術(shù)，是cisco的私有協(xié)議。該協(xié)議中含有多臺(tái)路由器，對(duì)應(yīng)一個(gè)HSRP組。該組中只有一個(gè)路由器承擔(dān)轉(zhuǎn)發(fā)用戶流量的職責(zé)，這就是活動(dòng)路由器。當(dāng)活動(dòng)路由器失效后，備份路由器將承擔(dān)該職責(zé)，成為新的活動(dòng)路由器。這就是熱備份的原理。實(shí)現(xiàn)HSRP的條件是系統(tǒng)中有多臺(tái)路由器，它們組成一個(gè)“熱備份組”，這個(gè)組形成一個(gè)虛擬路由器。在任一時(shí)刻，一個(gè)組內(nèi)只有一個(gè)路由器是活動(dòng)的，并由它來轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動(dòng)路由器發(fā)生了故障，將選擇一個(gè)備份路由器來替代活動(dòng)路由器，但是在本網(wǎng)絡(luò)內(nèi)的主機(jī)看來，虛擬路由器沒有改變。所以主機(jī)仍然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器切換的問題。為了減少網(wǎng)絡(luò)的數(shù)據(jù)流量，在設(shè)置完活動(dòng)路由器和備份路由器之后，只有活動(dòng)路由器和備份路由器定時(shí)發(fā)送HSRP報(bào)文。如果活動(dòng)路由器失效，備份路由器將接管成為活動(dòng)路由器。如果備份路由器失效或者變成了活躍路由器，將由另外的路由器被選為備份路由器。在實(shí)際的一個(gè)特定的局域網(wǎng)中，可能有多個(gè)熱備份組并存或重疊。每個(gè)熱備份組模仿一個(gè)虛擬路由器工作，它有一個(gè)Well－known－MAC地址和一個(gè)IP地址。該IP地址、組內(nèi)路由器的接口地址、主機(jī)在同一個(gè)子網(wǎng)內(nèi)，但是不能一樣。當(dāng)在一個(gè)局域網(wǎng)上有多個(gè)熱備份組存在時(shí)，把主機(jī)分布到不同的熱備份組，可以使負(fù)載得到分擔(dān)。任務(wù)3認(rèn)識(shí)可用性【知識(shí)鏈接】3．VRRP1.在功能上,VRRP和HSRP非常相似,但是就安全而言,VRRP對(duì)HSRP的一個(gè)主要優(yōu)勢(shì):它允許參與VRRP組的設(shè)備間建立認(rèn)證機(jī)制.并且,不像HSRP那樣要求虛擬路由器不能是其中一個(gè)路由器的ip地址,但是VRRP允許這種情況發(fā)生(如果”擁有”虛擬路由器地址的路由器被建立并且正在運(yùn)行,那么應(yīng)該總是由這個(gè)虛擬路由器管理—等價(jià)于HSRP中的活動(dòng)路由器),但是為了確保萬一失效發(fā)生的時(shí)候終端主機(jī)不必重新學(xué)習(xí)MAC地址,它指定使用的MAC地址00-00-5e-00-01-VRID,這里的VRID是虛擬路由器的ID(等價(jià)于一個(gè)HSRP的組標(biāo)識(shí)符).2.另外一個(gè)不同是VRRP不使用HSRP中的政變或者一個(gè)等價(jià)消息,VRRP的狀態(tài)機(jī)比HSRP的要簡(jiǎn)單,HSRP有6個(gè)狀態(tài)(初始(Initial)狀態(tài)，學(xué)習(xí)(Learn)狀態(tài)，監(jiān)聽(Listen)狀態(tài)，對(duì)話(Speak)狀態(tài)，備份(Standby)狀態(tài)，活動(dòng)(Active)狀態(tài))和8個(gè)事件,VRRP只有3個(gè)狀態(tài)(初始狀態(tài)(Initialize)、主狀態(tài)(Master)、備份狀態(tài)(Backup))和5個(gè)事件.3.HSRP有三種報(bào)文，而且有三種狀態(tài)可以發(fā)送報(bào)文呼叫(Hello)報(bào)文告辭(Resign)報(bào)文突變(Coup)報(bào)文VRRP有一種報(bào)文VRRP廣播報(bào)文：由主路由器定時(shí)發(fā)出來通告它的存在，使用這些報(bào)文可以檢測(cè)虛擬路由器各種參數(shù)，還可以用于主路由器的選舉。任務(wù)3認(rèn)識(shí)可用性【知識(shí)鏈接】4.HSRP將報(bào)文承載在UDP報(bào)文上，而VRRP承載在IP報(bào)文上(HSRP使用UDP1985端口，向組播地址

發(fā)送hello消息。)5.VRRP的安全:VRRP協(xié)議包括三種主要的認(rèn)證方式:無認(rèn)證,簡(jiǎn)單的明文密碼和使用MD5HMACip認(rèn)證的強(qiáng)認(rèn)證.強(qiáng)認(rèn)證方法使用IP認(rèn)證頭(AH)協(xié)議.AH是與用在IPSEC中相同的協(xié)議,AH為認(rèn)證VRRP分組中的內(nèi)容和分組頭提供了一個(gè)方法.MD5HMAC的使用表明使用一個(gè)共享的密鑰用于產(chǎn)生hash值.路由器發(fā)送一個(gè)VRRP分組產(chǎn)生MD5hash值,并將它置于要發(fā)送的通告中,在接收時(shí),接受方使用相同的密鑰和MD5值,重新計(jì)算分組內(nèi)容和分組頭的hash值,如果結(jié)果相同,這個(gè)消息就是真正來自于一個(gè)可信賴的主機(jī),如果不相同,它必須丟棄,這可以防止攻擊者通過訪問LAN而發(fā)出能影響選擇過程的通告消息或者其他一些方法中斷網(wǎng)絡(luò).另外,VRRP包括一個(gè)保護(hù)VRRP分組不會(huì)被另外一個(gè)遠(yuǎn)程網(wǎng)絡(luò)添加內(nèi)容的機(jī)制(設(shè)置TTL值=255,并在接受時(shí)檢查),這限制了可以進(jìn)行本地攻擊的大部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1.6.VRRP的崩潰間隔時(shí)間:3*通告間隔+時(shí)滯時(shí)間(skew-time)任務(wù)4加密----保證機(jī)密性任務(wù)四

加密----保證機(jī)密性任務(wù)描述在網(wǎng)絡(luò)安全日益受到關(guān)注的今天，加密技術(shù)在各方面的應(yīng)用也越來越突出。銀河網(wǎng)絡(luò)公司的需要實(shí)現(xiàn)文件加密，電子郵件加密/解密等，管理員王強(qiáng)使用PGP軟件進(jìn)行加密。任務(wù)4加密----保證機(jī)密性任務(wù)分析一臺(tái)服務(wù)器要進(jìn)行遠(yuǎn)程管理，我們可以先安裝TELNET服務(wù)，接著進(jìn)行一些簡(jiǎn)單的配置，然后運(yùn)行TELNET服務(wù)，最后我們可以在一臺(tái)客戶機(jī)中進(jìn)行測(cè)試遠(yuǎn)程登錄。要想了解TELNET的安全性，我們只需要使用Wireshare這樣的軟件進(jìn)行全過程的抓包進(jìn)行分析即可。任務(wù)實(shí)施步驟1：準(zhǔn)備好需要加密的文件/etc/passwd。將/etc/passwd文件復(fù)制到/tmp目錄，然后查看passwd文件任務(wù)4加密----保證機(jī)密性任務(wù)4加密----保證機(jī)密性步驟3：查看des方式解密文件。通過hexdump–Cpasswd_des命令查看文件內(nèi)容，比較加密前后文件內(nèi)容的變化任務(wù)4加密----保證機(jī)密性任務(wù)4加密----保證機(jī)密性步驟5：比較解密后的文件與原文件。使用diffpasswdplain_des.txt進(jìn)行對(duì)比，若無輸出，則表示完全相同任務(wù)4加密----保證機(jī)密性任務(wù)4加密----保證機(jī)密性步驟7：查看3des方式解密文件。通過hexdump–Cpasswd_3des命令查看文件內(nèi)容，比較加密前后文件內(nèi)容的變化任務(wù)4加密----保證機(jī)密性任務(wù)4加密----保證機(jī)密性步驟9：比較解密后的文件與原文件。使用diffpasswdplain_3des.txt進(jìn)行對(duì)比，若無輸出，則表示完全相同任務(wù)4加密----保證機(jī)密性任務(wù)4加密----保證機(jī)密性任務(wù)4加密----保證機(jī)密性步驟11：查看aes方式解密文件。通過hexdump–Cpasswd_aes命令查看文件內(nèi)容，比較加密前后文件內(nèi)容的變化任務(wù)4加密----保證機(jī)密性任務(wù)4加密----保證機(jī)密性步驟13：比較解密后的文件與原文件。使用diffpasswdplain_aes.txt進(jìn)行對(duì)比，若無輸出，則表示完全相同任務(wù)4加密----保證機(jī)密性【知識(shí)鏈接】1.對(duì)稱加密對(duì)稱加密采用了對(duì)稱密碼編碼技術(shù)，它的特點(diǎn)是文件加密的解密使用相同的密鑰，即加密密鑰也可以用作解密密鑰，這種方法在密碼學(xué)中叫做對(duì)稱加密算法。明文：采用密碼方法隱蔽和保護(hù)機(jī)密消息，使未授權(quán)者不能提取信息。密文：用密碼將明文變換成另一種隱蔽形式。加密：進(jìn)行明文到密文的變換。解密：由合法接收者從密文中恢復(fù)出明文。加密算法：對(duì)明文進(jìn)行加密時(shí)采用的一組規(guī)則。解密算法：對(duì)密文解密時(shí)采用的一組規(guī)則。密鑰：加密算法和解密算法是在一組僅有合法用戶知道的秘密信息，即稱為密鑰控制下進(jìn)行的，加密和解密過程中使用的密鑰分別稱為加密密鑰和解密密鑰。2．DES加密DES使用一個(gè)56位的密鑰以及附加的8位奇偶校驗(yàn)位，產(chǎn)生最大64位的分組大小。這是一個(gè)迭代的分組密碼，使用稱為Feistel的技術(shù)，其中將加密的文本塊分成兩半。使用子密鑰對(duì)其中一半應(yīng)用循環(huán)功能，然后將輸出與另一半進(jìn)行“異或”運(yùn)算；接著交換這兩半，這一過程會(huì)繼續(xù)下去，但最后一個(gè)循環(huán)不交換。DES使用16個(gè)循環(huán)，使用異或，置換，代換，移位操作四種基本運(yùn)算。任務(wù)4加密----保證機(jī)密性【知識(shí)鏈接】3．3DES加密DES的常見變體是三重DES，使用168位的密鑰對(duì)資料進(jìn)行三次加密的一種機(jī)制；它通常（但非始終）提供極其強(qiáng)大的安全性。如果三個(gè)56位的子元素都相同，則三重DES向后兼容DES。4．AES加密 AES,高級(jí)加密標(biāo)準(zhǔn)（英語：AdvancedEncryptionStandard，縮寫：AES），在密碼學(xué)中又稱Rijndael加密法，是美國聯(lián)邦政府采用的一種區(qū)塊加密標(biāo)準(zhǔn)。這個(gè)標(biāo)準(zhǔn)用來替代原先的DES，已經(jīng)被多方分析且廣為全世界所使用。嚴(yán)格地說，AES和Rijndael加密法并不完全一樣（雖然在實(shí)際應(yīng)用中二者可以互換），因?yàn)镽ijndael加密法可以支持更大范圍的區(qū)塊和密鑰長(zhǎng)度：AES的區(qū)塊長(zhǎng)度固定為128比特，密鑰長(zhǎng)度則可以是128，192或256比特；而Rijndael使用的密鑰和區(qū)塊長(zhǎng)度可以是32位的整數(shù)倍，以128位為下限，256比特為上限。包括AES-ECB,AES-CBC,AES-CTR,AES-OFB,AES-CFB。任務(wù)5散列函數(shù)：保證完整性任務(wù)五散列函數(shù)：保證完整性任務(wù)描述在網(wǎng)絡(luò)安全日益受到關(guān)注的今天，散列技術(shù)在各方面的應(yīng)用也越來越突出。銀河網(wǎng)絡(luò)公司的需要實(shí)現(xiàn)文件完整性，防止文件被篡改等，管理員王強(qiáng)使用md5軟件進(jìn)行散列計(jì)算。任務(wù)5散列函數(shù)：保證完整性任務(wù)分析一臺(tái)服務(wù)器要進(jìn)行遠(yuǎn)程管理，我們可以先安裝TELNET服務(wù)，接著進(jìn)行一些簡(jiǎn)單的配置，然后運(yùn)行TELNET服務(wù)，最后我們可以在一臺(tái)客戶機(jī)中進(jìn)行測(cè)試遠(yuǎn)程登錄。要想了解TELNET的安全性，我們只需要使用Wireshare這樣的軟件進(jìn)行全過程的抓包進(jìn)行分析即可。具體步驟如下：1.我們需要在CentOS服務(wù)器中配置一個(gè)TELNET服務(wù)。2.我們需要在客戶機(jī)上運(yùn)行telnet程序進(jìn)行登錄驗(yàn)證。3.我們需要在客戶機(jī)上運(yùn)行Wireshark軟件抓取流量并進(jìn)行分析。任務(wù)5散列函數(shù)：保證完整性步驟1：準(zhǔn)備好需要計(jì)算哈希的文件/etc/passwd。將/etc/passwd文件復(fù)制到/tmp目錄，然后查看passwd文件任務(wù)5散列函數(shù)：保證完整性步驟2：使用MD5方式計(jì)算哈希值。使用md5sum工具來計(jì)算出該文件的md5值任務(wù)5散列函數(shù)：保證完整性步驟3：修改passwd文件。創(chuàng)建一個(gè)新的用戶，用戶名為user6，密碼為123456。再次計(jì)算/etc/passwd的md5值任務(wù)5散列函數(shù)：保證完整性步驟4：比較前后兩個(gè)文件的md5值。再次計(jì)算md5值時(shí)，md5的值明顯發(fā)生了變化，是因?yàn)樘砑恿诵掠脩簦到y(tǒng)修改了passwd文件。步驟5：還原passwd文件。刪除user6用戶，再次計(jì)算/etc/passwd的md5值任務(wù)5散列函數(shù)：保證完整性步驟6：再一次比較前后兩個(gè)文件的md5值。計(jì)算md5值時(shí)，md5的值跟沒有添加用戶前是一樣的，說明passwd文件與原來文件一至。步驟7：使用SHA方式計(jì)算哈希值。使用sha1sum工具來計(jì)算出該文件的哈希值，如圖1-5-5所示。任務(wù)5散列函數(shù)：保證完整性

步驟8：修改passwd文件。創(chuàng)建一個(gè)新的用戶，用戶名為user6，密碼為123456。再次計(jì)算/etc/passwd的hash值任務(wù)5散列函數(shù)：保證完整性

步驟9：比較前后兩個(gè)文件的hash值。再次計(jì)算hash值時(shí)，hash的值明顯發(fā)生了變化，是因?yàn)樘砑恿诵掠脩簦到y(tǒng)修改了passwd文件。步驟10：還原passwd文件。刪除user6用戶，再次計(jì)算/etc/passwd的hash值任務(wù)5散列函數(shù)：保證完整性

步驟11：再一次比較前后兩個(gè)文件的hash值。計(jì)算hash值時(shí)，hash的值跟沒有添加用戶前是一樣的，說明passwd文件與原來文件一致。

步驟12：得出結(jié)論。

通過上面的計(jì)算哈希值實(shí)驗(yàn)，可以看出md5、sha等計(jì)算的原文件與修改后的文件哈希值差別很大，完全可以實(shí)現(xiàn)完整性。任務(wù)5散列函數(shù)：保證完整性

【知識(shí)鏈接】1.散列函數(shù)（hashfunction）散列函數(shù)能提供映射的確定性，單向性和抗沖突性。單向性：給定一個(gè)消息M，根據(jù)這一消息，能很容易地計(jì)算出散列性H(M)。但是很難找到滿足x=H(M)的消息M?？箾_突性：散列函數(shù)H將輸入字符串映射為更小的輸出字符串。如果對(duì)于給定的任意消息M，很難計(jì)算找到另一個(gè)消息M’=M，滿足H(M’)=H(M)，則我們說H具有弱抗沖突性（weakcollisionresistance）。如果很難計(jì)算兩個(gè)不同的消息M1和M2，滿足H(M1)=H(M2)，則散列函數(shù)H具有強(qiáng)抗沖突性（strongcollisionresistance）。也就是說，在弱抗沖突性中，我們?cè)噲D避免與特定的消息沖突，在強(qiáng)抗沖突性中，我們?cè)噲D避免一般的沖突。在一般情況下，證明真實(shí)世界中的加密散列函數(shù)具有強(qiáng)抗沖突性是一個(gè)挑戰(zhàn)，所以通常由密碼學(xué)家提供此性質(zhì)的實(shí)驗(yàn)證據(jù)。任務(wù)5散列函數(shù)：保證完整性

【知識(shí)鏈接】2．MD5MessageDigestAlgorithmMD5（中文名為消息摘要算法第五版）為計(jì)算機(jī)安全領(lǐng)域廣泛使用的一種散列函數(shù)，用以提供消息的完整性保護(hù)。該算法的文件號(hào)為RFC1321（R.Rivest,MITLaboratoryforComputerScienceandRSADataSecurityInc.April1992）。MD5即Message-DigestAlgorithm5（信息-摘要算法5），用于確保信息傳輸完整一致。是計(jì)算機(jī)廣泛使用的雜湊算法之一（又譯摘要算法、哈希算法），主流編程語言普遍已有MD5實(shí)現(xiàn)。將數(shù)據(jù)（如漢字）運(yùn)算為另一固定長(zhǎng)度值，是雜湊算法的基礎(chǔ)原理，MD5的前身有MD2、MD3和MD4。MD5算法具有以下特點(diǎn)：（1）壓縮性：任意長(zhǎng)度的數(shù)據(jù)，算出的MD5值長(zhǎng)度都是固定的。（2）容易計(jì)算：從原數(shù)據(jù)計(jì)算出MD5值很容易。（3）抗修改性：對(duì)原數(shù)據(jù)進(jìn)行任何改動(dòng)，哪怕只修改1個(gè)字節(jié)，所得到的MD5值都有很大區(qū)別。（4）強(qiáng)抗沖突性：已知原數(shù)據(jù)和其MD5值，想找到一個(gè)具有相同MD5值的數(shù)據(jù)（即偽造數(shù)據(jù)）是非常困難的。MD5的作用是讓大容量信息在用數(shù)字簽名軟件簽署私人密鑰前被"壓縮"成一種保密的格式（就是把一個(gè)任意長(zhǎng)度的字節(jié)串變換成一定長(zhǎng)的十六進(jìn)制數(shù)字串）。除了MD5以外，其中比較有名的還有sha-1、RIPEMD以及Haval等。任務(wù)5散列函數(shù)：保證完整性

【知識(shí)鏈接】3．SHA SHA是一種數(shù)據(jù)加密算法，該算法經(jīng)過加密專家多年來的發(fā)展和改進(jìn)已日益完善，現(xiàn)在已成為公認(rèn)的最安全的散列算法之一，并被廣泛使用。該算法的思想是接收一段明文，然后以一種不可逆的方式將它轉(zhuǎn)換成一段（通常更?。┟芪?，也可以簡(jiǎn)單的理解為取一串輸入碼（稱為預(yù)映射或信息），并把它們轉(zhuǎn)化為長(zhǎng)度較短、位數(shù)固定的輸出序列即散列值（也稱為信息摘要或信息認(rèn)證代碼）的過程。散列函數(shù)值可以說是對(duì)明文的一種“指紋”或是“摘要”所以對(duì)散列值的數(shù)字簽名就可以視為對(duì)此明文的數(shù)字簽名。安全散列算法SHA（SecureHashAlgorithm，SHA)是美國國家標(biāo)準(zhǔn)技術(shù)研究所發(fā)布的國家標(biāo)準(zhǔn)FIPSPUB180，最新的標(biāo)準(zhǔn)已經(jīng)于2008年更新到FIPSPUB180-3。其中規(guī)定了SHA-1，SHA-224，SHA-256，SHA-384，和SHA-512這幾種單向散列算法。SHA-1，SHA-224和SHA-256適用于長(zhǎng)度不超過2^64二進(jìn)制位的消息。SHA-384和SHA-512適用于長(zhǎng)度不超過2^128二進(jìn)制位的消息。SHA-1是一種數(shù)據(jù)加密算法，該算法的思想是接收一段明文，然后以一種不可逆的方式將它轉(zhuǎn)換成一段（通常更?。┟芪模部梢院?jiǎn)單的理解為取一串輸入碼（稱為預(yù)映射或信息），并把它們轉(zhuǎn)化為長(zhǎng)度較短、位數(shù)固定的輸出序列即散列值（也稱為信息摘要或信息認(rèn)證代碼）的過程。單向散列函數(shù)的安全性在于其產(chǎn)生散列值的操作過程具有較強(qiáng)的單向性。如果在輸入序列中嵌入密碼，那么任何人在不知道密碼的情況下都不能產(chǎn)生正確的散列值，從而保證了其安全性。SHA將輸入流按照每塊512位（64個(gè)字節(jié)）進(jìn)行分塊，并產(chǎn)生20個(gè)字節(jié)的被稱為信息認(rèn)證代碼或信息摘要的輸出。該算法輸入報(bào)文的長(zhǎng)度不限，產(chǎn)生的輸出是一個(gè)160位的報(bào)文摘要。輸入是按512位的分組進(jìn)行處理的。SHA-1是不可逆的、防沖突，并具有良好的雪崩效應(yīng)。通過散列算法可實(shí)現(xiàn)數(shù)字簽名實(shí)現(xiàn)，數(shù)字簽名的原理是將要傳送的明文通過一種函數(shù)運(yùn)算（Hash）轉(zhuǎn)換成報(bào)文摘要（不同的明文對(duì)應(yīng)不同的報(bào)